Trojice výzkumníků z Princeton University poukázala na relativně vážný problém se zabezpečením, resp. ochranou identity, jenž se týká přihlašovacích údajů uložených v běžných prohlížečích. Jedná se o dlouhodobě známou chybu a ve svém příspěvku se výzkumníci snaží poukázat na to, jak je v praxi zneužívána. Krátká verze zní, že lze na stránku vložit neviditelný přihlašovací formulář. Ten je automaticky vyplněn prohlížečem. V reakci skript přečte vložené přihlašovací jméno, což bývá často e-mailová adresa, a to je pak formou hashe odesláno na nějaký sběrný server. Podle dostupných zdrojů se o možnosti takového sběru identifikátorů ví více než 10 let. Pomocí vložených skriptů a sběru dat je možné jednotlivce a jednotlivkyně na webu lépe sledovat.
Výsledky čerstvé analýzy
Výzkumný tým zanalyzoval přes 50 tisíc stránek, kde nenašel dosud známý a běžný způsob získávání identifikátorů – dělo se tak běžně pomocí útoků XSS. Tyto útoky dokázaly z prohlížečů vylákat i hesla, jedná se proto o dobrou zprávu. Špatná zpráva zní, že ale na webech byly nalezeny sledovací skripty sbírající právě výše uvedená přihlašovací jména uložená v prohlížečích.
Aniž byste o tom nutně věděli, mohou být návštěvami webů různými službami získávány vaše e‑mailové adresy či jiné identifikátory, které pak slouží pro sledování napříč webem. Ano, dostáváme se opět ke stále klíčovější otázce soukromí v síti. Ačkoli se přihlašovat nemusíte, sledováni tímto způsobem být tajně můžete. Jak to funguje, si můžete zkusit sami na testovací stránce připravené výzkumníky z Princetonu.
Ukázka, jak může skript bez vašeho vědomí získat uložené přihlašovací údajeDva skripty, které k této činnosti slouží, byly identifikovány na 1110 stránkách z milionu nejnavštěvovanějších webů podle Alexy. Většina prohlížečů zatím stále neřeší okolnosti a uložené údaje poskytuje bez komplikací prakticky všem přihlašovacím formulářům. Chrome aspoň heslo vkládá až při interakci s formulářem, nikoli však uživatelské jméno. Ke zcela automatickému vkládání jména během testování docházelo ve Chromu, Firefoxu, Internet Exploreru, Edgi a Safari.
Řešení
Dokud se prohlížeče nezlepší, raději v nich svá uživatelská jména a hesla neukládejte. Pokud se děsíte, že byste je vyplňovali stále ručně, můžete zvolit řešení jako LastPass, StickyPassword, případně KeePass či RoboForm, pokud v nich neaktivujete automatické vkládání. Můžete se také podívat na seznam stránek, jež automatické vyplňování přihlašovacích údajů zneužívají, a pak se jim vyhýbat.
Automatické vkládání přihlašovacích údajů může být ve Firefoxu vypnuto pomocí předvolby signon.autofillForms (na stránce about:config). Přepněte ji na False. Co dál? Určité kroky mohou podniknout provozovatelé webů a pak samozřejmě i producenti prohlížečů. Ti by měli umožnit jednak vypnutí automatického vyplňování, jednak snížit uživatelský komfort a zvýšit ochranu identity tím, že aktivují vyplnění až při interakci s formulářem.
Velice detailní popis problematiky můžete nastudovat na webu výzkumného střediska Freedom to Tinker.
